Những gì bạn cần biết về lỗ hổng bảo mật quan trọng có thể kích hoạt WannaCryptor tiếp theo

Hãy nhớ sự hoảng loạn đã tấn công các tổ chức trên toàn thế giới vào ngày 12 tháng 5 2017 khi máy sau khi máy hiển thị màn hình tiền chuộc WannaCryptor? Chà, chúng ta có thể có một sự cố tương tự trong tay trong vài ngày tới, vài tuần hoặc vài tháng tới nếu các công ty không cập nhật hoặc bảo vệ các hệ thống Windows cũ hơn của họ ngay lập tức. Lý do là BlueKeep, một lỗ hổng bảo mật mã thực thi mã từ xa (RCE) có thể xâm nhập được trong các dịch vụ máy tính từ xa có thể sớm trở thành véc tơ mới để phát tán phần mềm độc hại. Một bản vá của Microsoft để được hỗ trợ, cũng như một số hệ điều hành không được hỗ trợ, đã có sẵn kể từ ngày 14 tháng 5 .

Lỗ hổng BlueKeep được tìm thấy trong Remote Desktop Services (còn được gọi là Terminal Services). Nếu được khai thác thành công trong tương lai, nó có thể cho phép truy cập vào máy tính được nhắm mục tiêu thông qua cửa hậu mà không cần thông tin xác thực hoặc tương tác người dùng.

Để làm cho tin xấu thậm chí còn tồi tệ hơn, lỗ hổng bảo mật là ‘sâu. Điều này có nghĩa là các khai thác trong tương lai có thể sử dụng nó để phát tán phần mềm độc hại bên trong hoặc bên ngoài các mạng theo cách tương tự với những gì đã thấy với WannaCryptor .

Sau khi Microsoft phát hành các bản vá mới nhất này, các nhà nghiên cứu bảo mật đã có thể tạo ra một số bằng chứng hoạt động, nhưng tại thời điểm viết, không có bản nào trong số này được phát hành công khai và không có trường hợp nào được biết về lỗ hổng được khai thác trong tự nhiên.

Lỗ hổng, được liệt kê là CVE-2019-0708 ảnh hưởng đến nhiều phiên bản hỗ trợ và không hỗ trợ của các hệ điều hành Microsoft lề. Người dùng Windows 7, Windows Server 2008 R2 và Windows Server 2008 có bật cập nhật tự động được bảo vệ. Microsoft cũng đã ban hành các bản cập nhật đặc biệt cho hai phiên bản không được hỗ trợ – cụ thể là Windows XP và Windows 2003 – có sẵn thông qua trang web này . Windows 8 và Windows 10 không bị ảnh hưởng bởi lỗ hổng.

Microsoft đã không phát hành bản vá cho Windows Vista, mặc dù phiên bản này cũng bị ảnh hưởng bởi lỗ hổng. Giải pháp duy nhất ở đây là vô hiệu hóa hoàn toàn Giao thức máy tính từ xa (RDP) hoặc chỉ cho phép sử dụng nó khi được truy cập qua VPN.

Điều quan trọng cần lưu ý là bất kỳ công ty nào sử dụng RDP được định cấu hình sai qua internet đều khiến người dùng và tài nguyên của họ gặp rủi ro. Ngoài các lỗ hổng như BlueKeep, những kẻ tấn công cũng cố gắng vũ trang để xâm nhập vào các máy của công ty và hệ thống nội bộ.

Trường hợp BlueKeep có sự tương đồng mạnh mẽ với các sự kiện từ hai năm trước. Vào ngày 14 tháng 3 2017, Microsoft đã phát hành bản sửa lỗi cho lỗ hổng sâu trong giao thức SMB (Server Message Block), khuyên tất cả người dùng nên vá máy Windows của họ ngay lập tức.

Lý do cho điều này là Khai thác EternalBlue – một công cụ độc hại được cho là được thiết kế và đánh cắp từ Cơ quan An ninh Quốc gia (NSA) – nhắm vào lỗ hổng SMB. Một tháng sau, EternalBlue bị rò rỉ trực tuyến và trong vài tuần đã trở thành phương tiện cho hai vụ tấn công mạng gây thiệt hại lớn nhất trong lịch sử gần đây – WannaCry (ptor) và NotPetya (Diskcoder.C) .

Một kịch bản tương tự có thể xảy ra với BlueKeep do tính chất dễ bị phá hủy của nó. Ngay bây giờ, vấn đề chỉ là thời gian cho đến khi ai đó xuất bản một công cụ khai thác đang hoạt động hoặc một tác giả phần mềm độc hại bắt đầu bán nó trên các thị trường ngầm. Nếu điều đó xảy ra, nó có thể sẽ trở nên rất phổ biến trong số những tội phạm mạng kém kỹ năng và cũng là một tài sản sinh lợi cho người sáng lập ra nó.

BlueKeep cũng sẽ hiển thị nếu các tổ chức trên thế giới học được một bài học sau khi bùng phát năm 2017 lớn và cải thiện tư thế bảo mật và các thói quen vá lỗi.

Để tóm tắt, các tổ chức và người dùng được khuyên nên:

  1. Vá, vá, vá . Nếu bạn hoặc tổ chức của bạn chạy phiên bản Windows được hỗ trợ, hãy cập nhật lên phiên bản mới nhất. Nếu có thể, hãy bật cập nhật tự động. Nếu bạn vẫn đang sử dụng không được hỗ trợ Windows XP hoặc Windows 2003 – vì bất kỳ lý do gì – tải xuống và áp dụng các bản vá càng sớm càng tốt.
  2. Vô hiệu hóa giao thức máy tính để bàn từ xa. Mặc dù bản thân RDP không dễ bị tổn thương, Microsoft khuyên tổ chức nên vô hiệu hóa nó cho đến khi các bản vá mới nhất được áp dụng. Hơn nữa, để giảm thiểu bề mặt tấn công của bạn, RDP chỉ nên được bật trên các thiết bị sử dụng và thực sự cần thiết.
  3. Định cấu hình RDP đúng cách. Nếu tổ chức của bạn hoàn toàn phải sử dụng RDP, tránh để lộ nó ra internet công cộng. Chỉ các thiết bị trên mạng LAN hoặc truy cập qua VPN mới có thể thiết lập phiên từ xa. Một tùy chọn khác là lọc truy cập RDP bằng tường lửa, chỉ liệt kê một phạm vi IP cụ thể. Nếu điều này là không thể, hãy sử dụng xác thực đa yếu tố.
  4. Kích hoạt xác thực cấp mạng (NLA) . BlueKeep có thể được giảm nhẹ một phần bằng cách kích hoạt NLA, vì nó yêu cầu người dùng xác thực trước khi phiên từ xa được thiết lập và lỗ hổng có thể bị sử dụng sai. Tuy nhiên, như Microsoft cho biết thêm, các hệ thống bị ảnh hưởng của Cameron vẫn dễ bị khai thác từ xa (RCE) nếu kẻ tấn công có thông tin xác thực hợp lệ có thể được sử dụng để xác thực thành công. [[23459019]
  5. Sử dụng giải pháp bảo mật đa lớp đáng tin cậy có thể phát hiện và giảm thiểu các cuộc tấn công khai thác lỗ hổng trên cấp độ mạng.





nguon http://feedproxy.google.com/~r/eset/blog/~3/ZY_DHN9NGoc/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây